Martinelli Updates

CONJUR | A aplicação do legítimo interesse para o tratamento de dados pessoais

Compartilhar:

Fonte: Consultor Jurídico | Publicado em 18/03/2022 | Clique aqui e veja a publicação original

As disciplinas da privacidade e da proteção de dados pessoais são questões de extrema relevância no cenário jurídico internacional há muitos anos, buscando acompanhar a evolução das tecnologias e as modificações da sociedade globalizada. Nesse contexto, a União Europeia, em 2016, promulgou a General Data Protection Regulation (GDPR), que regulamenta o tratamento de dados pessoais no âmbito dos Estados-membros da União Europeia. No Brasil, mais especificamente, foram inúmeros os fatores que culminaram na produção da Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018), como, por exemplo, o escândalo da Cambridge Analytica, a própria promulgação da GDPR como instrumento limitador aos negócios e acordos comerciais entre o Brasil e os países da União Europeia, a intenção de integração, pelo Brasil, na Organização para a Cooperação e Desenvolvimento Econômico (OCDE) e até mesmo as adequações legislativas para a implantação do Cadastro Positivo.

Não é demais relembrar que, apesar da extrema relevância da Lei Geral de Proteção de Dados Pessoais, muitas outras legislações esparsas tratam, diretamente ou de maneira transversal, sobre a temática da privacidade e da proteção de dados pessoais (entre elas, a própria Constituição Federal brasileira ao proteger a vida privada e a intimidade da pessoa, o Código Civil, o Código de Defesa do Consumidor e, também, a Lei nº 12.965/2014, mais conhecida como Marco Civil da Internet).

Com a promulgação da Lei Geral de Proteção de Dados Pessoais, inaugurou-se um sistema autônomo e horizontal de proteção de dados pessoais no Brasil, regulando a aplicação da norma pela adoção de princípios e exposição dos permissivos que legitimam o tratamento dos dados pessoais, também conhecidos como “bases legais”.

Dentre essas previsões, há a possibilidade de tratamento de dados pessoais quando necessário para “atender aos interesses legítimos do controlador ou de terceiro”, ressalvados os casos onde “prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais”. É visível que se está diante de um conceito jurídico indeterminado e amplo, com aplicação subjetiva pelo agente, o que traz, evidentemente, insegurança e alta margem para discussão quanto à sua aplicação.

Em razão disso, quando da escolha do legítimo interesse como base legal para determinada atividade de tratamento, faz-se necessária a aplicação do teste de proporcionalidade e balanceamento, mais conhecido como legitimate interests assessment (LIA), que divide em três etapas a verificação da efetiva legitimidade do interesse do controlador: em primeiro lugar, a verificação da finalidade legítima e situação concreta do tratamento dos dados pessoais; também, deve-se ponderar se os dados coletados são realmente necessários (em consonância com a minimização e necessidade previstas pela lei); e, após, o controlador deve balancear se o uso atribuído àquele dado está dentro das legítimas expectativas do titular e se há alguma reflexão em suas liberdades e direitos fundamentais.

Além disso, é necessário analisar o papel dos agentes de tratamento de dados pessoais nessa equação: a figura do controlador de dados pessoais e sua ligação com o titular quando coletar e tratar seus dados pessoais com base em seu legítimo interesse ou, ainda, em legítimo interesse de terceiro, de acordo com a previsão legal. Oportuno destacar, a propósito e ainda que preliminarmente, que o “terceiro” a que se refere a lei não é um agente de tratamento (controlador ou operador), mas somente um ente participativo da relação envolvida pelo tratamento de determinado dado pessoal. Portanto, quem tem o dever de decidir sobre a possibilidade de enquadramento ou não do tratamento daquele dado pessoal amparado no legítimo interesse é o próprio controlador.

Ainda sob esse enfoque, destacamos as nuances do vínculo jurídico estabelecido entre o controlador e o titular dos dados pessoais, com especial atenção àquelas relações em que haja, ao menos em tese e presumidamente, disparidade ou hipossuficiência entre as partes. Destacam-se, nesse contexto, as relações consumeristas, onde geralmente o consumidor, pessoa física, desempenhará o papel do titular dos dados pessoais, e o fornecedor, pessoa física ou jurídica, atuará como controlador desses dados coletados e tratados. Outro exemplo é, também, a relação trabalhista constituída entre empregado e empregador, onde o empregado, titular de seus dados pessoais, os fornece para que o seu empregador, agindo como controlador, decida quais usos fará com as informações coletadas — por exemplo, quando há utilização de vigilância por sistema de vídeo em locais de trabalho independentemente do consentimento do empregado.

Ainda, algumas questões expressivas e práticas permeiam o estudo da aplicabilidade do legítimo interesse — do controlador ou de terceiro — para o tratamento dos dados pessoais. Por exemplo, a questão sensível do lucro como justificador do legítimo interesse: se a finalidade da atividade empresarial é obter lucros [6] com seus bens e serviços, seria o lucro, portanto, um interesse “legítimo” das empresas? Veja-se que a disciplina da proteção de dados pessoais tem como fundamentos, entre outros, o desenvolvimento econômico e tecnológico e a livre iniciativa e livre concorrência, demonstrando, portanto, a intenção do legislador em não só proteger os direitos de titular — pessoa física —, mas, também, a atividade empresarial.

Sobre essa temática, destacamos a Consulta Pública sobre o Anteprojeto de Lei de Proteção de Dados Pessoais, realizada pela Secretaria Nacional do Consumidor (Senacon) em conjunto com a Secretaria de Assuntos Legislativos (SAL) dentro do escopo do projeto “Pensando o Direito” do Ministério da Justiça, que recebeu contribuições de diversos entes dos setores público e privado, academia, cidadãos e organizações não-governamentais para consideração da elaboração do Anteprojeto de Lei de Proteção de Dados Pessoais apresentado em outubro de 2015. Nessa Consulta, diversas entidades — do setor privado e também acadêmicas — propuseram alterações na redação do anteprojeto visando incluir o tratamento do legítimo interesse do responsável como hipótese excepcional à adoção do consentimento, o que ajuda a demonstrar a altíssima relevância dessa discussão desde o momento de construção do texto legal.

Assim, fica visível que a aplicabilidade do legítimo interesse como base legal possui alta carga de subjetividade, apresentando, pois, dificuldade em estabelecer os limites para a sua aplicabilidade e as diversas particularidades práticas da sua utilização como base legal de tratamento de dados pessoais por controladores no contexto atual.

Por Maísa Beatriz A. Evangelista

Como podemos ajudar?

Preencha o formulário e fale com a nossa equipe.

Ver Updates Relacionados

Segundo o Martinelli Advogados, a atualização da NR-1 aumenta a responsabilidade das empresas sobre a saúde mental dos empregados A atualização da Norma Reguladora 1 [...]

A aprovação pelo Senado, no último dia 03 de dezembro, do Projeto de Lei (PL) nº 658/21, que regulamenta a produção e o uso de [...]

plugins premium WordPress